Wächter der Web-Anwendungen

Web Application Firewalls in der Praxis

03.01.2011
Von Stefan Marx

Schutz vor Manipulation

Grundsätzlich gibt es zwei Arten von Objekten, die es vor Manipulationen zu schützen gilt: Das sind zum einen die vom Browser des Benutzers an die WebApplikation übermittelten Parameter, deren Inhalt aus Benutzereingaben in Formulare oder aus Auswahlfeldern stammt. Zum anderen übermittelt die Web-Applikation ein oder mehrere Cookies an den Browser, in denen sensible Daten wie Session-Informationen oder Authentisierungs-Tokens gespeichert sein können.

Es gibt WAFs, die zum Schutz dieser Objekte anbieten, die tatsächlichen Werte von Auswahlfeldern oder Cookies durch verschlüsselte Werte zu ersetzen und so einer Manipulation vorzubeugen. Ein Angreifer kann nun die Werte dieser Objekte nicht mehr nach Belieben verändern. Weil er den geheimen Schlüssel nicht kennt, kann er den manipulierten Inhalt nicht so chiffrieren, dass die WAF dies akzeptieren würde.

Verschlüsselung wird zudem von manchen Herstellern als Schutz vor "Forceful Browsing" eingesetzt - dabei handelt es sich um das Ausspähen von Daten durch die direkte Eingabe von URL-Pfaden beziehungsweise Dateinamen, die normalerweise nicht über Hyperlinks der Web-Applikation erreichbar wären. Um dem entgegenzuwirken, werden alle in einer HTML-Seite vorhandenen Hyperlinks durch verschlüsselte Varianten ersetzt. Die WAF akzeptiert nur noch Seitenaufrufe, die durch Aufruf eines solchen Links erfolgen. Ohne den geheimen Schlüssel kann ein Angreifer keine URL mehr direkt aufrufen oder Dateinamen erraten.

Sollte es einem Angreifer trotz der genannten Maßnahmen gelingen, die Web-Applikation zu manipulieren, um Daten zu stehlen, kann die WAF dennoch eingreifen: Auch die ausgehenden Daten werden auf bestimmte Muster untersucht. Die Auslieferung sensibler Daten wie etwa Kreditkartennummern lässt sich so blockieren oder in der ausgelieferten Seite maskieren.

Durch das Filtern ausgehender Seiten lässt sich aber auch verhindern, dass möglicherweise wichtige Details ausgespäht werden. Fehlerseiten von Applikations- oder Web-Servern enthalten häufig detaillierte, für Angreifer wertvolle Informationen über die darunterliegende Infrastruktur. Daher werden diese Seiten von der WAF durch eigene Seiten ersetzt oder auf unverfängliche Seiten umgeleitet.